Verslag vergadering Commissie voor Buitenlands Beleid, Europese Aangelegenheden, Internationale Samenwerking, Toerisme en Onroerend Erfgoed
Verslag
De heer Kennes heeft het woord.
We hebben de afgelopen tijd de nadruk gelegd op de TTIP-onderhandelingen (Transatlantic Trade and Investment Partnership) met Amerika, maar er is nog een aspect dat onze aandacht verdient. Wie de materie van dichtbij volgt in de Europese Commissie, binnen de bedrijven en de kamers van koophandel, heeft dit wel hoog op de agenda staan. We leven in een economie waar data-uitwisseling steeds belangrijker wordt om die economie draaiende te houden. Voor bedrijven is het essentieel geworden: data verzamelen en uitwisselen, data verwerken en beheren. Op dat punt zat er een haar in de boter.
Naar aanleiding van de zaak-Schrems vernietigde het Europees Hof van Justitie het zogenaamde Safe Harborakkoord tussen de EU en de Verenigde Staten dat in een regeling voorzag met betrekking tot de transfer van data naar de VS. Het Hof oordeelde dat het Safe Harborakkoord niet voldoende kon garanderen dat de persoonsgegevens van Europese burgers op een even veilige wijze konden worden verwerkt in de VS zoals dit reeds het geval is in de EU, waar de bescherming hopelijk adequaat is, ik heb niet direct redenen om daar vragen bij te stellen. Het ging vooral over de veiligheid in de Verenigde Staten.
Hierdoor dreigde de gegevenstransfer in de illegaliteit te verzinken, waardoor ondernemingen die handel drijven tussen de continenten, in de onzekerheid verkeerden over de wettelijkheid van hun dataflows. Daarnaast verhoogden de Europese privacycommissarissen de druk op de Europese Commissie door te eisen dat er een nieuw akkoord zou komen voor 31 januari 2016.
In de loop van februari sloten de VS en de EU een nieuw akkoord dat voortaan door het leven zal gaan als het EU-VSA Privacy Shield. Dit nieuwe kader, dat voorlopig de grote hoofdlijnen schetst, moet een betere bescherming voor de privacy van de Europese burgers bieden. Zo krijgt de Amerikaanse overheid geen algemeen inzagerecht meer. Dit is natuurlijk een heel gevoelige materie, want ook als ze het niet vragen, blijken ze dat toch vaak te doen. Mits de naleving van strikte voorwaarden en binnen een vooraf uitgetekend kader kan ze, zoals overigens in Europa, de inzage van bepaalde data vragen. In het kader van een terrorismeonderzoek of justitiële opsporingen enzovoort moet dat wel mogelijk zijn: dan zijn er procedures aan gekoppeld. Maar ook ondernemingen zullen voortaan binnen een strikte timing klachten inzake het beheer van data moeten beantwoorden.
Minister-president, het EU-US Privacy Shield is een voorlopige overeenkomst die de komende maanden in een akkoord of ‘adequacy decision’ zal worden gegoten. Dit is vooral belangrijk voor de bedrijven die een beroep willen doen op het gelijkwaardigheidsprincipe voor de doorgifte van persoonsgegevens naar de VS. Op welke wijze zult u er bij de Europese Unie op aandringen om zo spoedig mogelijk tot een definitief juridisch akkoord te komen teneinde de rechtszekerheid voor de Vlaamse bedrijven te garanderen? Is een ratificatie van dit akkoord door de EU-lidstaten vereist? Zo ja, op welke wijze zal Vlaanderen hierbij betrokken worden? Zo neen, op welke wijze hebben de EU-lidstaten enige controlemogelijkheid in deze?
Welke implicaties heeft deze nieuwe overeenkomst voor de handelsbetrekkingen met de VS? Op welke wijze zal de Vlaamse overheid onze bedrijven informeren over de nieuwe verplichtingen die met dit akkoord gepaard gaan?
Minister-president Bourgeois heeft het woord.
De Oostenrijkse rechtenstudent Maximiliaan Schrems schrijft momenteel geschiedenis met het arrest van 15 oktober 2015. Het heeft in elk geval grote Europese internationale weerklank gekregen. Het Hof heeft beslist met betrekking tot de vraag of een nationale toezichthouder onderzoek mag doen. Het High Court of Ireland, het Ierse hooggerechtshof, daar was de zaak aanhangig gemaakt, had gevraagd of de beschikking van de Europese Commissie tot gevolg had dat de nationale toezichthouder een klacht dat een derde land geen waarborgen voor een passend beschermingsniveau bood, niet mocht onderzoeken en niet voor zover nodig de opschorting van de omstreden gegevensdoorgifte mocht gelasten.
Ik vat samen in drie puntjes. Het Hof oordeelt dat het bestaan van een beschikking van de Commissie waarbij wordt geconstateerd dat een derde land waarborgen voor een passend niveau van bescherming van de doorgegeven persoonsgegevens biedt, de bevoegdheden van de nationale toezichthouders op grond van het handvest van de grondrechten van de EU en de richtlijn niet teniet kan doen of beperken. Dat is zeer belangrijk, dat was de eerste principiële vraag die gesteld werd.
Ten tweede, zelfs in het geval van een beschikking door de Commissie zijn de nationale toezichthoudende autoriteiten waarbij een verzoek is ingediend, verplicht om in volledige onafhankelijkheid te onderzoeken of de doorgifte van de gegevens van een persoon naar een derde land in overeenstemming is met de vereisten van een richtlijn.
Ten derde, wanneer een nationale autoriteit of de persoon die zich tot de nationale autoriteit heeft gewend, van mening is dat een beschikking van de Commissie ongeldig is, moet deze autoriteit of persoon zich tot de nationale rechter kunnen richten, zodat die wanneer hij eveneens twijfelt over de geldigheid van de beschikking van de Commissie, de zaak naar het Hof van Justitie kan verwijzen. Het is dus in laatste instantie aan het Hof om te beslissen of een Commissiebeschikking geldig is of niet. Dit is toch wel een zeer belangrijk principieel arrest, zeker wanneer het gaat over de privacybescherming. Het was een jonge rechtenstudent die op Facebook zat sinds 2008 en die naar het Iers Hooggerechtshof gestapt is.
De Commissie heeft op 2 februari 2016 aangekondigd dat de Europese Unie en de Verenigde Staten een politiek akkoord hebben bereikt. Dit akkoord is een belangrijke stap, ook voor Vlaanderen, omdat wij uiteraard al heel lang de digitale cyberspacetrein hebben genomen en omdat wij ook meegaan in alle recente en minder recente evoluties ter zake. Op 29 februari 2016, gisteren dus, presenteerde de Europese Commissie de juridische teksten die bij het politiek akkoord van 2 februari 2016 horen. Die teksten worden nu aan een interne EU-procedure onderworpen.
In haar persbericht van gisteren gaf de Europese Commissie vier krachtlijnen van het politieke akkoord aan.
Ten eerste zullen er strenge verplichtingen zijn voor Amerikaanse bedrijven die data van EU-onderdanen naar de VS importeren. De bedrijven die dergelijke informatie willen importeren, zullen zich moeten registreren. Het Department of Commerce zal een effectief supervisiemechanisme installeren om erop toe te zien dat deze bedrijven de privacyprincipes die ze onderschrijven door zich te registreren ook daadwerkelijk toepassen. Amerikaanse bedrijven zullen daarbij rekening moeten houden met de beslissingen van de Europese gegevensbeschermingsautoriteiten.
Ten tweede heeft de VS voor het eerst schriftelijke garanties gegeven dat de toegang van de Amerikaanse inlichtingendiensten tot die overgedragen data onderworpen is aan duidelijke voorwaarden, beperkt is in de tijd, dat daar toezicht op is, en dat er bovendien ook een beroepsmogelijkheid is ingeschreven. De vandaag al beschikbare schriftelijke garanties zijn gisteren samen met de juridische teksten van het akkoord vrijgegeven. Ze staan allemaal op de website van de Europese Commissie. Het gaat om tweehonderd pagina’s. Ik heb ze natuurlijk de hele nacht door gelezen om u hier van antwoord te kunnen dienen.
Ten derde krijgen de EU-burgers een effectieve bescherming en de mogelijkheid om misbruiken aan te klagen. In eerste instantie zal er een geschillenbeslechtingsmechanisme binnen de bedrijven gecreëerd worden. De EU-burgers wordt tevens de mogelijkheid geboden om via hun nationale gegevensbeschermingsautoriteit onbehandelde klachten onder de aandacht van het Amerikaanse Department of Commerce en de federale Trade Commission te brengen. Indien dit niet tot resultaat leidt, wordt een – last resort – arbitragesysteem ingeschreven.
Ten vierde wordt een jaarlijkse evaluatie van het EU-US-akkoord ingeschreven, waarbij beide partijen de effectiviteit van het akkoord nagaan.
Uit dit alles, mijnheer Kennes, mag blijken dat het hier voornamelijk gaat om maatregelen die de Amerikaanse partners, bedrijven en inlichtingendiensten moeten nemen om databescherming te garanderen. Dit voorgestelde akkoord heeft tot doel te remediëren aan de tekortkomingen van het ‘Veilige Haven’-besluit: onvoldoende verplichtend karakter voor Amerikaanse bedrijven om de nodige gegevensbeschermingsgaranties in te bouwen; beperkte controle door Amerikaanse overheidsdiensten op de naleving van deze garanties; gebrek aan beperking op de toegang tot EU-persoonsgegevens voor de Amerikaanse inlichtingendiensten; afwezigheid van beroepsmogelijkheden; afwezigheid van evaluatie van de effectiviteit van het akkoord. Die tekortkomingen werden door de Europese Commissie in november 2013 impliciet gesignaleerd in de Commissiemededeling 2013/846, getiteld ‘Herstel van vertrouwen in de gegevensstromen tussen de EU en de VS’, en bevestigd in het arrest van het Europees Hof van Justitie van 6 oktober 2015.
Van een echt akkoord is pas sprake wanneer de Europese Commissie unilateraal een adequaatheidsbesluit aanneemt, waarbij wordt erkend dat het nieuwe VS-kader in verband met privacy en databehandeling door een derde land adequate bescherming biedt. Deze unilaterale beslissing zal niet vertaald worden in een internationale overeenkomst die ter ratificatie moet worden voorgelegd.
Voorafgaand aan het adequaatsheidsbesluit geldt echter een interne EU-procedure die voorschrijft dat: ten eerste de Europese Commissie de juridische vertaling van het politiek akkoord aan de nationale privacycommissies van de 28 lidstaten voor niet-bindend advies moet voorleggen; ten tweede komt het, na dit advies, de vertegenwoordigers van de 28 lidstaten toe om via de zogenaamde onderzoeksprocedure een opinie aan de Commissie te bezorgen; ten derde, enkel indien een gekwalificeerde meerderheid van lidstaten zich tegen het voorstel van adequaatheidsbesluit uitspreekt, moet de Europese Commissie haar voorstel opnieuw aanpassen; ten vierde, na het doorlopen van deze procedure komt het de Europese Commissie toe om via een adequaatheidsbesluit het akkoord tussen de VS en de EU unilateraal te bekrachtigen.
Sinds dat arrest van 6 oktober 2015 heeft de Europese Commissie belangrijke stappen gezet. Nu moet worden nagegaan of de voorgestelde teksten daadwerkelijk tegemoetkomen aan de tekortkomingen die ik heb genoemd. Het niet-bindende advies van de nationale gegevensbeschermingsautoriteiten zal hierbij een heel belangrijk element zijn, dat bij een eventuele nieuwe rechtszaak voor het Hof van Justitie zeker in overweging zal worden genomen.
Voor ons land neemt de Commissie voor de bescherming van de persoonlijke levenssfeer, ook de Privacycommissie genoemd, deze rol waar. Drie leden van deze commissie behoren ook tot de Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer.
Het lijkt dus in deze fase gepast om te zeggen dat dit op het eerste gezicht een grote verbetering is, met tal van waarborgen, transparantie, toezicht- en controlemogelijkheden, beroepsmogelijkheden, opvolging door de beide partners, beperkte toegang voor wat betreft de inlichtingendiensten, enzovoort. Maar we moeten nog altijd de nodige voorzichtigheid aan de dag leggen. Het is nog te vroeg om daar een globaal oordeel over uit te spreken. De specialisten ter zake en de Privacycommissie moeten daarover nog hun licht laten schijnen.
Vanuit Vlaanderen wordt de verdere uitrol van dit raamakkoord opgevolgd door de algemene vertegenwoordiging van de Vlaamse Regering bij de EU. De betrokken beleidsdomeinen zijn Internationaal Vlaanderen en de Dienst Kanselarij en Bestuur. Wij leggen tevens de nodige contacten met de federale vertegenwoordiger van Justitie, die uiteraard in eerste instantie het dossier opvolgt.
Een validatie van de overeenkomst zorgt voor rechtszekerheid. Er is formeel geen band met het TTIP. Het Europees Parlement heeft eerder wel een oplossing voor de privacy van de gegevens van de Europese burgers als randvoorwaarde naar voren geschoven vooraleer het parlement het definitieve TTIP zal goedkeuren. Dit is expliciet opgenomen in aanbeveling XIII van de resolutie van het Europees Parlement met betrekking tot het TTIP.
Op grond van de informatie die de Europese Commissie ter beschikking heeft gesteld, zullen vooral Amerikaanse bedrijven aan nieuwe verplichtingen worden onderworpen. Het is in eerste instantie aan het Amerikaanse Department of Commerce en aan de Amerikaanse inlichtingendiensten om erop toe te zien dat de afspraken over gegevensbescherming uit het akkoord tussen de VS en de EU daadwerkelijk worden nageleefd. De Commissie voor de bescherming van de persoonlijke levenssfeer – voor Vlaanderen zijn het, in het bijzonder, de leden van de Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer die deel uitmaken van de Privacycommissie – is het best geplaatst om juiste informatie over dit akkoord ter beschikking te stellen zodra de teksten op EU-niveau finaal bekrachtigd zullen zijn.
Mochten er over dit thema vragen rijzen vanuit Vlaamse bedrijven die in een VS-EU-context opereren, dan kunnen die bedrijven via Internationaal Vlaanderen of via Flanders Investment and Trade de nodige contacten leggen met de Commissie voor de bescherming van de persoonlijke levenssfeer.
Het akkoord heeft uiteraard in eerste instantie betrekking op Amerikaanse bedrijven die in het derde land over die data beschikken en op de controle daarop.
De heer Kennes heeft het woord.
Minister-president, dank u voor dit uitgebreide antwoord. U hebt de problematiek goed geschetst en de tekortkomingen bij naam genoemd, zoals zij door onder andere de Europese Commissie en het Hof van Justitie werden blootgelegd. Het is goed zowel voor de bescherming van de levenssfeer, maar ook voor de handel en de contacten dat daarover duidelijke afspraken worden gemaakt. Ik begrijp dat er niet direct sprake is van een ratificatie, maar dat het nu in de eerste plaats de nationale gegevensbeschermingsautoriteiten zullen zijn die daarover 28 adviezen zullen moeten afleveren. Alleen een gekwalificeerde meerderheid zou kunnen leiden tot een aanpassing.
Ik neem aan dat het grondig is aangepakt. We zullen het afwachten. Minister-president, u pleit voor voorzichtigheid. Ik wil u daarin zeker bijtreden. Ook al kunnen we ervan uitgaan dat er een verbetering in zit, we moeten toch altijd voorzichtig blijven en de specialisten op dat punt hun werk laten doen.
Ik heb in het begin de link met het TTIP gemaakt. Die link is ook gemaakt op het niveau van het Europese Parlement. Het zit in dezelfde sfeer. Het is alleen een specifiek aspect. Deze zaken zijn heel grondig aangepakt. Ik hoop dat dit mee een goed kader kan bouwen, een kader van vertrouwen om ook andere dossiers verder aan te pakken.
Mevrouw Turan heeft het woord.
De vraag van de heer Kennes is zeer terecht. Dit heeft inderdaad linken met het TTIP en de privacybescherming die daar aan de orde is. Minister-president, uw antwoord heeft mij gerustgesteld.
Dat komt in het verslag, mevrouw Turan. Het is de allereerste keer. Maar nu volgt de ‘maar’.
U hebt zelf gezegd dat de jonge student Schrems geschiedenis heeft geschreven. Maar we zouden niet willen dat hij het nog eens herhaalt. Er is nu inderdaad een politiek voorstel, dat al dan niet met juridische teksten is voorgelegd. De kritiek is even snel opnieuw opgekomen. Er zijn mensen die zeggen dat dit gewoon een dressing is van hetzelfde en dat de garanties geen garanties zijn. Dat zijn ook argumenten, die nu ontwikkeld zijn op basis van het voorliggende voorstel. Ik ben het met u eens, samen met de heer Kennes, om de experten in dezen hun werk te laten doen en vooral ook dat de experten van de privacycommissies van de verschillende lidstaten zich over de adequaatheidsprocedure buigen en adviezen mogen geven. Ik denk dat u terecht de Vlaamse afvaardigingen daarop kunt wijzen, dat ze de procedure verder opvolgen. De tweehonderd pagina’s die u of uw kabinet vannacht heeft gelezen, heb ik nog niet gelezen. Ik heb de reacties erop gezien. Als dat door onze experten wordt opgevolgd, wil ik er zeker van uitgaan dat daarop de gepaste reacties zullen komen.
Ik heb wel een bijkomende vraag. Het heeft toch wat geduurd om ons deze procedure uit te leggen. Dit is een tijdelijke oplossing. De vraag is hoelang zo’n adequaatheidsprocedure duurt, als er 28 lidstaten zijn die met hun privacycommissies allemaal niet-bindende adviezen moeten geven. Hoe snel zal dat zijn?
Het Safe Harborakkoord werd terecht afgeschoten. Dat was duidelijk een falende bescherming van de persoonlijke gegevens: enerzijds door gebruik van de Amerikaanse inlichtingendienst, om veiligheidsredenen, maar anderzijds ook vanwege commerciële doeleinden van Amerikaanse bedrijven. Met de adequate oplossing die er nu zal komen, zal er ook met betrekking tot het TTIP rekening moeten worden gehouden. De privacyrechten van de EU-burgers en -bedrijven moeten fundamenteel en met voldoende garanties geregeld worden.
Ik wacht de procedures af, en ook de adviezen van de experten, die hopelijk ook de input vanuit Vlaanderen zullen geven. Hopelijk zullen we dit in de commissie nog bespreken vooraleer dit naar het federale niveau gaat, om dan verder te worden overgemaakt. We moeten in deze commissie afspreken hoe we dit zullen opvolgen.
Minister-president Bourgeois heeft het woord.
Ik heb gezegd dat het een gekwalificeerde meerderheid moet zijn. Als 45 procent van de EU-bevolking en de meerderheid van de lidstaten tegen zijn, kan er geen akkoord tot stand komen.
Ik ben uiteraard bereid om tekst en uitleg te geven bij deze materie, die mij bijzonder interesseert. Maar dit is een parlementaire instelling. Ik heb geen voorstel te doen aan de Privacycommissie. Voorzitter, ik neem aan dat deze commissie gerechtigd is om hier de drie federale leden van de Privacycommissie die ook deel uitmaken van de Vlaamse Toezichtcommissie te horen.
Ik heb net aan onze directeur Europa binnen de permanente vertegenwoordiging gevraagd wat de termijn is. Hij kent die nog niet. Er is nog maar pas een beslissing genomen. Er was aangedrongen om snel tot een beslissing te komen, en die is gisteren gevallen, op een schrikkeldag: 29 februari. De periode kan een tot anderhalve maand zijn, maar het zal allicht snel gaan. Het zal zaak zijn om contact te nemen. Ik ben maar minister. Het parlement is baas van die toezichtcommissie. U kunt aan uw instellingen vragen wat u wilt. Het staat u vrij om dat te doen.
Het is belangrijk dat er een debat over wordt gevoerd. Er zijn nu al heel kritische stemmen. Ik heb gesproken van de nodige voorzichtigheid, maar om nu te zeggen dat dit geen stap vooruit is … Ik denk niet dat de commissie zich kan veroorloven om copy-paste te doen van de Safe Harbor, dat vernietigd is en de toets niet heeft doorstaan. Naar mijn aanvoelen zitten er in de principes grote stappen vooruit, maar veel hangt af van de teksten. Uiteraard kan het zijn dat die Maximilian nog een tweede keer naar het Europees Hof trekt. We leven nu eenmaal in een rechtsstaat, ook op Europees vlak. Wie weet streeft hij wel onsterfelijke roem na.
Het staat de leden vrij om een dergelijk initiatief voor te stellen.
De vraag om uitleg is afgehandeld.